Contenedores de firmas asociadas
Contenedores de Firma Asociada - Associated Signature Containers (ASiC), especifica el uso de estructuras contenedoras para unir uno o más objetos firmados con firmas electrónicas avanzadas o tokens de sellos de tiempo en un único contenedor digital.
Contexto regulador
editarDe acuerdo con el Reglamento eIDAS,[1] un contenedor de firmas asociado (ASiC) para eIDAS es un contenedor de datos que se utiliza para mantener un grupo de objetos de archivo y firmas digitales y/o afirmaciones de tiempo que están asociadas a esos objetos. Estos datos se almacenan en el ASiC en formato ZIP.
La Decisión de Ejecución 2015/1506 de la Comisión Europea, de 8 de septiembre de 2015, estableció las especificaciones relativas a los formatos de las firmas electrónicas avanzadas y los sellos avanzados que deben reconocer los organismos del sector público de conformidad con los artículos 27 y 37 del Reglamento eIDAS. Los Estados miembros de la UE que requieran una firma electrónica avanzada o una firma electrónica avanzada basada en un certificado cualificado, reconocerán la firma electrónica avanzada XML, CMS o PDF en el nivel de conformidad B, T o LT o utilizando un contenedor de firma asociado, cuando dichas firmas cumplan las siguientes especificaciones técnicas:
- XAdES Baseline Perfil - ETSI TS 103171 v.2.1.1.
- CAdES Baseline Perfil - ETSI TS 103173 v.2.2.1.
- PAdES Baseline Perfil -ETSI TS 103172 v.2.2.2.
- Contenedor de Firma asociada Baseline Perfil -ETSI TS 103174 v.2.2.1
Las especificaciones técnicas de los ASiC han sido actualizadas y normalizadas desde abril de 2016 por el Instituto Europeo de Normas de Telecomunicaciones en la norma Associated Signature Containers (ASiC) (ETSI EN 319 162-1 V1.1.1 (2016-04), pero esta norma actualizada no es exigida por la Decisión de Ejecución de la Comisión Europea..[2]
Estructura
editarLa estructura interna de un ASiC incluye dos carpetas:
- Una carpeta raíz que almacena todo el contenido del contenedor, que puede incluir carpetas que reflejan la estructura de ese contenido.
- Una carpeta "META-INF" que reside en la carpeta raíz y contiene archivos que contienen metadatos sobre el contenido, incluyendo sus archivos de firma y/o de afirmación de tiempo asociados.
Este archivo de firma electrónica contendría un único objeto CAdES o una o varias firmas XAdES. Un archivo de afirmación de tiempo contendría un token de marca de tiempo único que se ajustará a la RFC 3161 del IETF, mientras que un registro de evidencia único se ajustaría a la RFC 4998 del IETF[3] o a la RFC6283 del IETF.[4][5][6][7]
Cómo se usa ASiC
editarUno de los propósitos de una firma electrónica es asegurar que los datos a los que está unida no sean modificados. Esto puede hacerse creando un conjunto de datos que combine la firma con sus datos firmados o almacenando la firma desvinculada en un recurso separado y utilizando después un proceso externo para volver a asociar la firma con sus datos. Puede ser ventajoso utilizar firmas desvinculadas porque evita modificaciones no autorizadas en los objetos de datos originales. Sin embargo, al hacer esto, existe el riesgo de que la firma desvinculada se separe de sus datos asociados. Si esto ocurriera, la asociación se perdería y, por tanto, los datos quedarían inaccesibles.
Una de las implantaciones más extendidas de la norma ASiC es el sistema de firma digital estonio con el uso de un software multiplataforma (Windows, Linux, MacOS (OSX)) llamado DigiDoc
Tipos de contenedores ASiC
editarUtilizar la herramienta correcta para cada trabajo es siempre importante. También es importante utilizar el tipo correcto de contenedor ASiC para el trabajo en cuestión:
ASiC Sencillo (ASiC-S)
editarCon este contenedor, un único objeto de archivo se asocia a un archivo de firma o de afirmación de tiempo. También puede incluirse en este contenedor un archivo "mimetype" que especifica el tipo de medio. Cuando se incluye un archivo "mimetype", se requiere que sea el primer archivo en el contenedor ASiC. Este tipo de contenedor permitirá añadir firmas adicionales en el futuro para utilizarlas para firmar objetos de archivo almacenados. Cuando se utilizan tokens de marca de tiempo a largo plazo, los archivos ASiC Archive Manifest se utilizan para proteger los tokens de marca de tiempo a largo plazo contra la manipulación..[8][9]
ASiC Extendido (ASiC-E)
editarEste tipo de contenedor puede contener uno o varios archivos de firma o de aserción temporal. ASiC-E con XAdES se ocupa de los archivos de firma, mientras que ASiC-E con CAdES se ocupa de las aserciones temporales. Los archivos dentro de estos contenedores ASiC se aplican a sus propios conjuntos de objetos de archivo. Cada objeto de archivo puede tener metadatos o información adicional asociada que también puede ser protegida por la firma. Un contenedor ASiC-E podría estar diseñado para evitar esta modificación o permitir su inclusión sin causar daños a las firmas anteriores
Ambos contenedores ASiC son capaces de mantener la disponibilidad y la integridad a largo plazo cuando se almacenan firmas XAdES o CAdES mediante el uso de tokens de sello de tiempo o archivos de manifiesto de registro de pruebas que están contenidos en los contenedores. Los contenedores ASiC deben cumplir la especificación ZIP y las limitaciones que se aplican a ZIP.[10][11]
ASiC-S contenedor adicional de afirmación de tiempo
editarEste contenedor opera bajo los requisitos básicos del contenedor ASiC Simple (ASiC-S), pero también proporciona requisitos adicionales de afirmación de tiempo. Los elementos adicionales pueden estar dentro de su carpeta META-INF y requiere el uso de la variable "SignedData" para incluir la información del certificado y la revocación.[12][13]
ASiC-E CAdES contenedor adicional
editarEste contenedor tiene las mismas líneas de base que un contenedor ASiC-E, pero con restricciones adicionales[14][15]
ASiC-E Aserción de tiempo contenedor adicional
editarEste contenedor cumple con los requisitos básicos de ASiC-E junto con otros requisitos y restricciones adicionales..[16][17]
Riesgo reducido de pérdida de firma electrónica
editarEl uso de ASiC reduce el riesgo de que una firma electrónica se separe de sus datos al combinar la firma y sus datos firmados en un contenedor. Con ambos elementos asegurados dentro de un ASiC, es más fácil distribuir una firma y garantizar que se está utilizando la firma correcta y sus metadatos durante la validación. Este proceso también puede utilizarse cuando se asocian aserciones de tiempo, incluidos los registros de pruebas o los tokens de marca de tiempo a sus datos asociados..
Enlaces externos
editarReferencias
editar- ↑ «Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC». EUR-Lex. The European Parliament and the Council of the European Union. Consultado el 18 de marzo de 2016.
- ↑ «Electronic Signatures and Infrastructures (ESI); Associated Signature Containers (ASiC); Part 1: Building blocks and ASiC baseline containers (ETSI EN 319 162-1 V1.1.1 (2016-04)». European Telecommunications Standards Institute.
- ↑ Gondrom, T. «Evidence Record Syntax (ERS)». Network Working Group. Consultado el 13 de junio de 2017.
- ↑ Adams, C. «Internet X.509 Public Key Infrastructure - Time-Stamp Protocol (TSP)». Network Working Group. Consultado el 13 de junio de 2017.
- ↑ Jerman Blazic, A. «Extensible Markup Language Evidence Record Syntax (XMLERS)». Internet Engineering Task Force (IETF). Consultado el 13 de junio de 2017.
- ↑ Turner, Dawn M. «ASiC - Associated Signature Containers for eIDAS». Cryptomathic. Consultado el 13 de junio de 2017.
- ↑ «Electronic Signatures and Infrastructures (ESI); Associated Signature Containers (ASiC); Part 1: Building blocks and ASiC baseline containers (ETSI EN 319 162-1 V1.1.1 (2016-04)». European Telecommunications Standards Institute.
- ↑ «Electronic Signatures and Infrastructures (ESI); Associated Signature Containers (ASiC); Part 1: Building blocks and ASiC baseline containers (ETSI EN 319 162-1 V1.1.1 (2016-04)». European Telecommunications Standards Institute.
- ↑ Turner, Dawn M. «ASiC - Associated Signature Containers for eIDAS». Cryptomathic. Consultado el 13 de junio de 2017.
- ↑ «Electronic Signatures and Infrastructures (ESI); Associated Signature Containers (ASiC); Part 1: Building blocks and ASiC baseline containers (ETSI EN 319 162-1 V1.1.1 (2016-04)». European Telecommunications Standards Institute.
- ↑ Turner, Dawn M. «ASiC - Associated Signature Containers for eIDAS». Cryptomathic. Consultado el 13 de junio de 2017.
- ↑ Turner, Dawn M. «ASiC - Associated Signature Containers for eIDAS». Cryptomathic. Consultado el 13 de junio de 2017.
- ↑ «Electronic Signatures and Infrastructures (ESI); Associated Signature Containers (ASiC); Part 2: Additional ASiC containers (ETSI EN 319 162-2 V1.1.1 (2016-04)». European Telecommunications Standards Institute.
- ↑ Turner, Dawn M. «ASiC - Associated Signature Containers for eIDAS». Cryptomathic. Consultado el 13 de junio de 2017.
- ↑ «Electronic Signatures and Infrastructures (ESI); Associated Signature Containers (ASiC); Part 2: Additional ASiC containers (ETSI EN 319 162-2 V1.1.1 (2016-04)». European Telecommunications Standards Institute.
- ↑ Turner, Dawn M. «ASiC - Associated Signature Containers for eIDAS». Cryptomathic. Consultado el 13 de junio de 2017.
- ↑ «Electronic Signatures and Infrastructures (ESI); Associated Signature Containers (ASiC); Part 2: Additional ASiC containers (ETSI EN 319 162-2 V1.1.1 (2016-04)». European Telecommunications Standards Institute.